天融信助大运会实现终端安全标准化管理

2011年世界大学生夏季运动会(以下简称“大运会”)已圆满闭幕。天融信在赛事进行的12天时间里,圆满完成了大运会组委会赋予的重任,对大运会通信和信息系统Admin网的5270台终端和Games网的2620台终端进行统一标准化管理,通过建立终端安全管理体系,实现了统一的集中管控,为大运会的基础服务终端提供了强有力的安全保障。

  一、终端概况

  计算机终端是大运会办公和处理业务最重要的工具之一,对计算机终端的可控管理可以有效提高办公效率,减少信息安全隐患,提高软硬件资产的可管理性,降低大运会运行成本,提高使用者的满意度,从而为大运会创造更多业务价值。但在大运会终端管理上主要存在以下问题:

  接入数量大:大运会总计拥有Admin网5270台终端和Games网2620台终端,并且分布在不同的竞赛与非竞赛场馆中;

  使用人员复杂:终端使用人员众多,又集中在特定的时间段使用,这对使用者的安全意识和安全技术管控提出了更高挑战。特别是Games网中的2620台终端由于与互联网隔离,只有必要数据才能通过网闸与Admin网进行数据交互,因此对Games网终端的非法外联管理更加严格,如果发生风险要做到法律追溯与定位。

  终端接入的认证需求:大运会的特定系统只有经过严格认证的终端才可接入业务系统,对经过认证的终端访问业务系统也有严格要求;

  数据防护需求:对大运会终端操作要有严格管理,终端系统上拨号行为、打印行为、外存使用行为、文件操作等行为要有安全监控与保障,确保敏感数据的安全,避免了内部保密数据泄漏。

  终端监管与防护需求:管理员要能够轻松进行网内终端的管理维护,要解决终端系统基础信息及时、准确掌控的问题,规范客户端操作行为。通过系统监管模块,管理员要能够远程查看终端系统当前的详细信息,包括:已安装软件、已安装硬件、进程、端口、CPU、磁盘、内存等。

  二、终端标准化建设思想

  面对如此多的终端,只有对终端实行标准化管理后,才方便我们实现准入控制,以及非法外联控制。保障终端的可信接入的同时,也要保障网络的完整性,所以我们明确了以下几个问题:

  明确终端在管理、运行、维护等过程中存在的问题和需求;

  明确网络中各类终端的业务功能和业务特色;

  对网络提出指导性的终端标准化建议;

  分析终端管理体系平台与业务系统融合问题。

  终端标准化的建设框架从服务管理、设备管理、终端支撑管理等3个方面进行标准化,如下图所示:

  

天融信助大运会实现终端安全标准化管理



  三、终端标准化建设

  大运会终端管理系统TopDesk(以下简称“TD”)的部署如下图所示:

  

天融信助大运会实现终端安全标准化管理



  TD分为二级级联部署,在每个场馆部署二级管理中心,二级服务器向一级管理中心发送事件日志和告警,一级服务器下发策略和同步用户数据库。同时也可对准入服务器提供备份功能,当场馆服务器故障期间,终端认证可自动转向一级服务器。

  一级TD部署在沙河MDC机房,Admin网与Games网各1套;二级TD部署在场馆,其中Admin网部署了53套二级中心,Games网部署了46套二级中心。每个场馆的终端都安装TD客户端,客户端与服务端实时通讯,以保证及时的软件更新及安全策略的下发。对Admin网5270台终端提供网络准入和终端安全防护服务;对Games网2620台终端提供非法外联检测、网络准入和终端安全防护服务。如果二级TD管理中心出现问题,则终端可在一级管理中心进行认证与策略下载,保障终端的可用性。

  三、终端标准化的应用特点

  TD是基于安全策略而设计的,因此便于对网内终端安全行为进行全面监管,检测并保障桌面系统安全。TD重点在终端的安全准入、移动存储管理、终端安全管理、终端行为管理、非法外联管理、终端系统管理、系统资源管理等进行统一管理。通过统一定制、下发安全策略并强制执行的机制,实现对网内终端系统的管理和维护,能有效保障终端系统及机密数据的安全。

  针对大运会的特定要求,天融信重点在终端的接入管理、非法外联、终端防护需求上进行集中管控。

  1.接入管理模块

  接入管理系统模块,分别部署在Admin网和Games网竞赛与非竞赛场馆中供内部使用的所有终端上。接入管理模块采用802.1X技术,实现完善、可信的网络准入。主要特点如下:

  对终端实施监控。如:授权时限、访问权限等;

  通过一组机制控制不同级别的主体以目标资源的不同授权访问,在对主体认证之后实施网络资源安全管理使用;

  由资源拥有者分配接入权,在辨别各用户的基础上实现接入控制。每个用户的接入权由数据的拥有者来建立,以接入控制表或权限表实现。

  能够在整个网络上实时执行动态策略管理,将用户身份、端点完整性及定位信息与接入控制捆绑起来,可以解决平衡接入和安全控制的问题。
2.终端防护模块

  终端防护模块分别部署在Admin网和Games网竞赛与非竞赛场馆中供内部使用的所有终端上,每个场馆都安装有此软件服务端工作站,软件客户端与服务端实时通讯保证及时的软件更新及安全策略的下发。主要特点如下:

  采用分级帐号管理模式,对普通管理员可以指定不同的管理权限和管理范围;

  能够自动发现未安装客户端的电脑,并可通过域脚本安装、远程安装、WEB安装等多种方式安装部署客户端;

  可查看客户端软硬件:能够对所用终端电脑进行分组管理,并能够查看终端电脑的软硬件基本配置;

  通过控制台可以查看电脑的自启动、进程、服务等信息,但不允许完全控制终端电脑,也不能查看终端电脑文件、数据、邮件等其它敏感信息;

  即时检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时间等信息,保障病毒引擎和病毒库的最新版本,下哦那个人实现及时、准确、防蠕虫、病毒、木马能力,并可以检测并阻止黑客程序、木马、蠕虫病毒及恶意程序在终端电脑上运行,防止这些程序对终端电脑的破坏;

  蠕虫快速定位:对网络中的蠕虫病毒快速定位,即某一台电脑感染蠕虫病毒,能够快速找出该台电脑并立即清除病毒;

  强制安全策略下发:对某一组(台)特定终端强制分发安全策略,强制实行安全策略的功能,

  进程防护:具有进程防护功能,即只有指定的进程才能够在某一等级或是某一组的终端电脑上运行,而其它所有进程或程序都不能运行;

  安全重启:终端电脑出现安全故障时,通过远程重启该电脑,就可以查杀病毒,使电脑回到正常的状态运行;

  ARP防护:针对内网ARP欺骗病毒,解决上不了网和IP冲突问题;

  升级:服务端可以采用通过网络直接升级、下载到本地升级以及光盘升级等多种方式升级,客户端可以指定在某一时间段自动连接服务端进行升级;

  流量控制:可以对各终端主机进行流量控制,当流量超过一定阀值时可自动切断终端端主机的网络连接;

  3.非法外联模块

  非法外联模块部署在Games网2620台终端上,主要特点如下:

  多种接入方式检测:包括Modem、ADSL、GPRS、红外、多网卡(包括无线网卡),基本涵盖了目前主流的外联手段。

  验证终端唯一性,并实时监控终端。如:网络报警、网络阻断等。

  有效监控/阻断客户端主机的IP、MAC、掩码的非法修改操作,有效控制局域网的IP盗用和滥用,同时也避免了客户端主机修改网卡IP后连入Internet的问题。

  实时发现非法接入的主机(可以穿透个人防火墙),并能有效阻断非法接入主机对局域网络的访问,有效维护了局域网的完整性和安全性。

  有效监控/阻断客户端主机的IP、MAC、掩码的非法修改操作,有效控制局域网的IP盗用和滥用,同时也避免了客户端主机修改网卡IP后连入Internet的问题。

  客户端对自己注册的服务进行保护,使服务不能非法停止、服务属性不能非法修改;

  客户端进程采用双进程相互守护的方式保障进行正常运行;

  客户端对安装文件进行保护,使其不被非法删除、修改;

  总之,在大运会项目中对终端管理主要集中在接入管理、非法外联管理和终端防护系统等三个方面,最终实现的主要功能有:

  在A/G网为所有终端提供802.1x准入认证服务;

  在G网部署了非法外联检测及告警功能;

  在A/G网下发了以下终端管理策略:

  各场馆的公众查询终端上禁用USB和光驱;

  终端流量统计;

  软件安装变更审计;

  主机系统资源占用及告警;

  网络文件共享监视及告警;

  进程白名单监视及告警

  四、总结

  在本次大运会中,对终端的管理主要针对网络接入安全问题,终端管理技术、内容与行为审计技术、安全管理平台技术,建立了多层次、立体式的可信接入安全防护体系,整合了安全资源,具有如下效果:

  解决网络接入者的身份可信问题:对于终端接入,杜绝了非法用户和外来人员随意接入大运会内部网络的行为,即便非法用户盗用了合法主机,如果不具备合法用户身份也无法接入到G/A网络,可以有效抵御来自非法接入的攻击;对于网络接入,由于建立了网络间的基本信任关系,从而杜绝了网络间的非法访问行为;

  解决了终端安全状态可信问题:终端接入时的安全检查决定了是否允许终端接入网络;接入后的状态检测,能够保证在终端状态不符合终端标准化策略要求时及时切断与网络的连接;

  解决了集中的策略管理、事件分析、应急响应和决策支持问题:安全接入促进了大运会整体安全策略的全面有效实施,综合安全管理平台可以统一对策略进行定义、下发并在各个设备上进行强制实施,提高了综合防范能力,此外还可对安全事件进行集中的管理分析和应急响应支持,对全局的安全威胁和风险进行评估和管理,为安全决策提供支持。

时间:2011-10-19浏览次数:734次